痛在何处？

本刊记者 | 陈琛

“中国运营商迟早被《萨班斯法案》害死”；“每次都被萨班斯扒层皮”；“萨班斯，‘受过害’的人都知道”……当谈及萨班斯审计时，多位运营商亲历者如是说。

自2003年陆续引入《萨班斯法案》，中国移动等国内三大运营商已遵照执行了多年时间。总结运营商引入《萨班斯法案》的得与失，不少受访运营商人士告诉记者：“有得有失，成本过大，十分折腾，相较于表面的成绩，实际效果早已大打折扣。”

萨班斯的“八宗罪”

据记者了解，《萨班斯法案》实施以来，虽然运营商在公司管理流程、内部财务控制等方面取得了一定的成效，但也逐渐暴露出了以下多方面的问题。

首先，操作标准不明。《萨班斯法案》要求企业通过记录、保存日常业务数据、文档等以实现内部风险的有效控制，但目前在操作层面仍没有明确的标准或者操作标准往往滞后。

“萨班斯相关的大量的基础性工作，都是事后才明确标准，比如营业厅有价物料的交接手续、库存记录等，往往是待到审计时临时去补，一补就是半年、一年，有时甚至要推倒重来好几次。”浙江某运营商受访人士告诉记者。

上述受访人士进一步指出：“由于操作标准不明，很多工作大家谁也不知道做成怎样才合格，但又怕承担责任，于是自上而下层层加码，不断增加、细化要求，结果到一线任务已相当繁重，使得一线员工疲于应付。”

第二，标准过高。“目前企业内部关于萨班斯的程序和要求，在一线根本不可能得到落实（如要求某些工作必须两人同行并相互监督），而为了完成任务、通过检查，基层往往批量、集中地补做大量的工作，在员工看来，这并没有给企业带来贡献，没有意义，有时甚至会出现多次的返工，非常折腾。”上述受访人士指出。

第三，风险控制点过多、缺乏必要的灵活度。“《萨班斯法案》的核心就是企业风险的内控，而要进行风险内控，就需要公司进行庞大的组织架构改造和流程细化，要求内部流程细化到具体细节。于是目前运营商往往尽量多地设置风险控制点，但这样一来在有效稀释基层权限以及控制风险的同时，也极大地影响了电信业务的灵活性与时效性，”中国移动研究院相关受访人士表示，“例如，某电信运营商接客户需求需要临时在某处加装通信设备，但由于流程要求需要经过各级审批，结果当各级审批完成后已超出客户需求时间，进而导致无法按时为客户提供服务，无法获得收益，甚至被客户投诉，进而丢失部分市场。”

第四，执行过程流于形式。“《萨班斯法案》加强内控，本意不错，但由于目前运营商内部管理体系不能真正按照萨班斯要求执行，仍存在很多‘人治’和灵活的因素，所以普遍出现了审计之时临时‘补作业’的情况，颇有为了审计而审计的感觉。”某地方运营商高管告诉记者。

第五，缺乏信息化系统支撑。“目前，关于萨班斯的很多工作，都是想到哪里做到哪里，没有规范的信息化系统做记录和支撑。”浙江某运营商受访人士向记者表示。

第六，外行审内行。对此，某地方运营商网络部资深人士告诉记者：“萨班斯审计中的外审人员并不真正理解被审计对象的业务、流程等工作内容，也不考虑实际工作难度，嘴皮子上下一碰，就说这个不对、那个不对，并且由于基层电信工作专业化程度较高，内部员工不得不花费大量精力去培训审计人员，使其了解业务系统，从而证明资金收入和支出的有效性，同时，在面临审计人员的质疑时也需要花费大量的精力和提供大量的资料来进行解释说明。”

“事实上，除了给基层员工增加大量的工作量外，更为关键的是，由于不懂电信业务，外审人员往往不能如内审人员一样高效地找出关键风险点与要害问题，其只能事无巨细地逐个排查问题，这样很容易事倍功半。”广东移动相关受访人士表示。

第七，基层工作量激增。不论是“临时抱佛脚”还是应对审计人员的各种问题与质疑，都将大大增加基层员工的工作量，这对于工作量本就较为饱和的基层电信员工而言，无疑是另一个沉重的负担。“每年至少有1～2个月的时间要进行萨班斯审计，而在这段时间内，70%～80%的正常工作时间都要用于应对审计。”上述广东移动相关受访人士表示。

第八，缺乏部门协同以及集团层面统筹。对此，北京移动相关受访人士告诉记者，由于欠缺部门间的协同以及集团层面的统筹考虑，目前《萨班斯法案》已经成为了各部门规避风险的“挡箭牌”，“例如，当业务部门申请某一个项目的时候，财务部门就可能以资产回收期不符合《萨班斯法案》要求而驳回项目，当前，各部门都只在意自身是否满足《萨班斯法案》对于风险控制的要求，但同时从整个分公司以及集团层面却错失了很多市场机会”。

目前，事无巨细的《萨班斯法案》已经在一定程度上妨碍了运营商灵活应对集团客户等的需求。

水土不服的法案

虽然存在上述各种执行层面的问题，但由于在美上市的公司必须符合《萨班斯法案》规定，因此目前运营商能做的就是不断调整自己以与《萨班斯法案》形成良性互动关系。而实现这一目标的前提便是透彻分析造成上述问题的本质原因。

对此，相关受访运营商高层向记者表示，主要有两方面的核心原因。首先，上述问题的暴露从某种程度上说明运营商并未准确把握风险管理以及《萨班斯法案》的要义，“事实上，《萨班斯法案》只是要求管理层对数据的真实性负责，但并未硬性规定企业必须采取怎样的管控方式，目前这样的事无巨细的管控说明管理层并不真正懂得如何进行高效的管控，要知道高效的管控并不等于过细的管控”。

其次，更为关键的是，上述一系列问题充分暴露出目前运营商的管理体制与普遍适用《萨班斯法案》的西方企业的管理体制仍存较大差异，“我国电信企业管理仍存在大量‘人治’成分，与西方企业在管理的系统化、流程化、参数化、自动化等方面还存在较大差距，所以才导致了‘临时抱佛脚’、部门协同不利等一系列问题的产生”。